奇安信：紫队视角下的实战攻防演习组织 (奇安信安服团队) (z-library.sk, 1lib.sk, z-lib.sk)

📄 File Format: PDF

💾 File Size: 976.2 KB

📖 Read Online ⬇️ Download

Registered users can read the full content for free

Register as a Gaohf Library member to read the complete e-book online for free and enjoy a better reading experience.

📄 Page 1

实战攻防演习之 紫队视角下的实战攻防演习组织 1

📄 Page 2

实战攻防演习之 紫队视角下的实战攻防演习组织 3 前 言 网络实战攻防演习，是新形势下关键信息系统网络 安全保护工作的重要组成部分。演习通常是以实际运 行的信息系统为保护目标，通过有监督的攻防对抗， 最大限度地模拟真实的网络攻击，以此来检验信息系 统的实际安全性和运维保障的实际有效性。 2016年以来，在国家监管机构的有力推动下，网 络实战攻防演习日益得到重视，演习范围越来越广， 演习周期越来越长，演习规模越来越大。国家有关部 门组织的全国性网络实战攻防演习从2016年仅有几家 参演单位，到2019年已扩展到上百家参演单位；同时 各省、各市、各行业的监管机构，也都在积极地筹备 和组织各自管辖范围内的实战演习。一时间，网络实 战攻防演习遍地开花。 在演习规模不断扩大的同时，攻防双方的技术水平 和对抗能力也在博弈中不断升级。 2016年，网络实战攻防演习尚处于起步阶段，攻 防重点大多集中于互联网入口或内网边界。 2017年，实战攻防演习开始与重大活动的网络安 全保障工作紧密结合。就演习成果来看，从互联网侧

📄 Page 3

实战攻防演习之 紫队视角下的实战攻防演习组织 4 发起的直接攻击仍然普遍十分有效；而系统的外层防 护一旦被突破，横向移动、跨域攻击，往往都比较容 易实现。 2018年，网络实战攻防演习开始向行业和地方深 入。伴随着演习经验的不断丰富和大数据安全技术的 广泛应用，防守方对攻击行为的监测、发现和溯源能 力大幅增强，与之相应的，攻击队开始更多地转向精 准攻击和供应链攻击等新型作战策略。 2019年以来．网络实战攻防演习工作受到了监 管部门、政企机构和安全企业的空前重视。流量分 析、EDR、蜜罐、白名单等专业监测与防护技术被防 守队广泛采用。攻击难度的加大也迫使攻击队全面升 级，诸如0day漏洞攻击、1day漏洞攻击、身份仿冒、 钓鱼WiFi、鱼叉邮件、水坑攻击等高级攻击手法，在 实战攻防演练中均已不再罕见，攻防演习与网络实战 的水平更加接近。 如何更好地参与网络实战攻防演习？如何更好地借 助实战攻防演习提升自身的安全能力？这已经成为大 型政企机构运营者关心的重要问题。 作为国内领先的网络安全企业，奇安信集团已成为 全国各类网络实战攻防演习的主力军。奇安信集团安

📄 Page 4

实战攻防演习之 紫队视角下的实战攻防演习组织 5 服团队结合200余次实战攻防演习经验，总结编撰了这 套实战攻防演习系列丛书，分别从红队视角、蓝队视 角和紫队视角，来解读网络实战攻防演习的要领，以 及如何结合演习提升政企机构的安全能力。 需要说明的是，实战攻防演习中的红方与蓝方对抗 实际上是沿用了军事演习的概念和方法，一般来说， 红方与蓝方分别代表攻击方与防守方。不过，红方和 蓝方的名词定义尚无严格的规定，也有一些实际的攻 防演习，将蓝队设为攻击队、将红队设为防守队。在 本系列丛书中，我们依据绝大多数网络安全工作者的 习惯，统一将攻击队命名为红队，将防守队命名为蓝 队，而紫队则代表组织演练的机构。 《紫队视角下的实战攻防演习组织》是本系列丛书 的第三本。本书重点介绍实战环境下的紫队工作，提 出组织实战攻防演习的四个阶段，给出实战攻防演习 的组织要素、组织形式，明确演习各方的人员职责， 描述每阶段需开展的重点工作，并提示在开展实战攻 防演习时应规避的风险。

📄 Page 5

实战攻防演习之 紫队视角下的实战攻防演习组织 6 目 录 第一章 什么是紫队......................................1 一、实战攻防演习组织要素...................................1 二、实战攻防演习组织形式...................................3 三、实战攻防演习组织关键...................................3 第二章 实战攻防演习组织的四个阶段..............6 一、组织策划阶段..................................................6 二、前期准备阶段................................................15 三、实战攻防演习阶段.........................................17 四、演习总结阶段................................................20 第三章 实战攻防演习风险规避措施...............24 一、演习限定攻击目标系统，不限定攻击路径...24 二、除授权外，演习不允许使用拒绝服务攻击...24

📄 Page 6

实战攻防演习之 紫队视角下的实战攻防演习组织 7 三、网页篡改攻击方式的说明.............................24 四、演习禁止采用的攻击方式.............................25 五、攻击方木马使用要求.....................................25 六、非法攻击阻断及通报.....................................26 附录 奇安信实战攻防演习组织经验...............27

📄 Page 7

实战攻防演习之 紫队视角下的实战攻防演习组织 1 第一章 什么是紫队 紫队，一般是指网络实战攻防演习中的组织方。 紫队是在实战攻防演习中，以组织方角色，开展演 习的整体组织协调工作，负责演习组织、过程监控、 技术指导、应急保障、演习总结、技术措施与策略优 化建议等各类工作。 紫队组织红队对实际环境实施攻击，组织蓝队实施 防守，目的是通过演习检验参演单位安全威胁应对能 力、攻击事件检测发现能力、事件分析研判能力和事 件响应处置能力，提升被检测机构安全实战能力。 下面，就针对紫队组织网络实战攻防演习的要素、 形式和关键点分别进行介绍。 一、实战攻防演习组织要素 组织一次网络实战攻防演习，组织要素包括：组织 单位、演习技术支撑单位、攻击队伍（即红队）、防 守单位这四个部分。

📄 Page 8

实战攻防演习之 紫队视角下的实战攻防演习组织 2 组织单位负责总体把控、资源协调、演习准备、演 习组织、演习总结、落实整改等相关工作等。 演习技术支撑单位由专业安全公司提供对应技术支 撑和保障，实现攻防对抗演习环境搭建和攻防演习可 视化展示。 攻击队伍，也即红队，一般由多家安全厂商独立 组队，每支攻击队一般配备3-5人。在获得授权前提 下，以资产探查、工具扫描和人工渗透为主进行渗透 攻击，以获取演习目标系统权限和数据。 防守队伍，也即蓝队，由参演单位、安全厂商等人 员组成，主要负责对防守方所管辖的资产进行防护， 可视化展示，所有攻击行 为安全可控， 组织单位 攻防演习平台攻击队伍 防守单位 总体把控、资源协调、专家评审、 裁判打分 成立若干攻击小组，以竞赛或合 作的方式展开真实的网络攻击， 发现安全漏洞，获得服务器权限 可视化展示 所有攻击行为安全可控 攻击录屏，视频监控 成立防守小组，实时监控网络， 进行实时阻断、应急响应等工作

📄 Page 9

实战攻防演习之 紫队视角下的实战攻防演习组织 3 在演习过程中尽可能不被红队拿到权限和数据。 二、实战攻防演习组织形式 网络实战攻防演习的组织形式根据实际需要出发， 主要有以下两种： 1）由国家、行业主管部门、监管机构组织的演习 此类演习一般由各级公安机关、各级网信部门、 政府、金融、交通、卫生、教育、电力、运营商等国 家、行业主管部门或监管机构组织开展。针对行业关 键信息基础设施和重要系统，组织攻击队以及行业内 各企事业单位进行网络实战攻防演习。 2）大型企事业单位自行组织演习 央企、银行、金融企业、运营商、行政机构、事业 单位及其他政企单位，针对业务安全防御体系建设有 效性的验证需求，组织攻击队以及企事业单位进行实 战攻防演习。 三、实战攻防演习组织关键 实战攻防演习得以成功实施，组织工作包括：演 习范围、周期、场地、设备、攻防队伍组建、规则制

📄 Page 10

实战攻防演习之 紫队视角下的实战攻防演习组织 4 定、视频录制等多个方面。 演习范围：优先选择重点（非涉密）关键业务系统 及网络。 演习周期：结合实际业务开展，一般建议1-2周。 演习场地：依据演习规模选择相应的场地，可以容 纳指挥部、攻击方、防守方，三方场地分开。 演习设备：搭建攻防演习平台、视频监控系统，为 攻击方人员配发专用电脑等。 攻击方组建：选择参演单位自有人员或聘请第三方 安全服务商专业人员组建。 防守队组建：以各参演单位自有安全技术人员为 主，聘请第三方安全服务商专业人员为辅构建防守队 伍。 演习规则制定：演习前明确制定攻击规则、防守规 则和评分规则，保障攻防过程有理有据，避免攻击过 程对业务运行造成不必要的影响。 演习视频录制：录制演习的全过程视频，作为演习 汇报材料以及网络安全教育素材，内容包括：演习工

📄 Page 11

实战攻防演习之 紫队视角下的实战攻防演习组织 5 作准备、攻击队攻击过程、防守队防守过程以及裁判 组评分过程等内容。

📄 Page 12

实战攻防演习之 紫队视角下的实战攻防演习组织 6 第二章 实战攻防演习组织的四个阶段 实战攻防演习的组织可分为四个阶段： 组织策划阶段：此阶段明确演习最终实现的目标， 组织策划演习各项工作，形成可落地、可实施的实战 攻防演习方案，并需得到领导层认可。 前期准备阶段：在已确定实施方案基础上开展资源 和人员的准备，落实人财物。 实战攻防演习阶段：是整个演习的核心，由组织方 协调攻防两方及其他参演单位完成演习工作，包括演 习启动、演习过程、演习保障等。 演习总结阶段：先恢复所有业务系统至日常运行状 态，再进行工作成果汇总，为后期整改建设提供依据。 下面依次进行详细介绍。 一、组织策划阶段 网络实战攻防演习是否成功，组织策划环节非常关 键。组织策划阶段主要从建立演习组织、确定演习目 标、制定演习规则、确定演习流程、搭建演习平台、

📄 Page 13

实战攻防演习之 紫队视角下的实战攻防演习组织 7 应急保障措施这六个方面进行合理规划、精心编排， 这样才能指导后续演习工作开展。 （一）建立演习组织 为确保攻防演习工作顺利进行，成立实战攻防演习 工作组及各参演小组，组织架构通常如下： 演习组织机构设置示意图 1）攻击组（红队） 由参演单位及安全厂商攻击人员构成，一般由攻防 渗透人员、代码审计人员、内网攻防渗透人员等技术 人员组成。负责对演习目标实施攻击。

📄 Page 14

实战攻防演习之 紫队视角下的实战攻防演习组织 8 2）防守组 由各个防护单位运维技术人员和安全运营人员组 成，负责监测演习目标，发现攻击行为，遏制攻击行 为，进行响应处置。 3）技术支撑组 其职责是攻防过程整体监控，主要工作为攻防过 程中实时状态监控、阻断处置操作等，保障攻防演习 过程安全、有序开展。演习组织方，即紫队需要负责 演习环境运维，维护演习IT环境和演习监控平台正常运 行。 4）监督评价组 由攻防演习主导单位组织形成专家组和裁判组，负 责攻防演习过程中巡查各个攻击小组，即红队的攻击 状态，监督攻击行为是否符合演习规则，并对攻击效 果进行评价。专家组负责对演习整体方案进行研究， 在演习过程中对攻击效果进行总体把控，对攻击成果 进行研判，保障演习安全可控。裁判组负责在演习过 程中对攻击状态和防守状态进行巡查，对攻击方操作 进行把控，对攻击成果判定相应分数，依据公平、公 正原则对参演攻击队和防守单位给予排名。

📄 Page 15

实战攻防演习之 紫队视角下的实战攻防演习组织 9 5）组织保障组 由演习组织方指定工作人员组成，负责演习过程中 协调联络和后勤保障等相关事宜，包括演习过程中应 急响应保障、演习场地保障、演习过程中视频采集等 工作。 （二）确定演习目标 依据实战攻防演习需要达到的演习效果，对参演单 位业务和信息系统全面梳理，可以由演习组织方选定 或由参演单位上报，最终选取确认演习目标系统。通 常会选择关键信息基础设施、重要业务系统、门户网 站等作为演习首选目标。 （三）制定演习规则 依据演习目标结合实际演习场景，细化攻击规则、 防守规则和评分规则。为了鼓励和提升防守单位防守 技术能力，可以适当增加防守方反击得分规则。 演习时间：通常为工作日5×8小时，组织单位视情 况还可以安排为7×24小时。 沟通方式：即时通信软件、邮件、电话等。

📄 Page 16

实战攻防演习之 紫队视角下的实战攻防演习组织 10 （四）确定演习流程 实战攻防演习正式开始后的流程一般如图所示： 1）确认人员就位 确认红队人员以及攻防演习组织方、防守组人员按 要求到位。 2）确认演习环境 攻击组与技术支撑组确认演习现场和演习平台准备

📄 Page 17

实战攻防演习之 紫队视角下的实战攻防演习组织 11 就绪。 3）确认准备工作 防守组确认参演系统备份情况，目标系统是否正 常，并已做好相关备份工作。 4）演习开始 各方确认准备完毕，演习正式开始。 5）攻击组实施攻击 红队对目标系统开展网络攻击，记录攻击过程和成 果证据。 6）防守组监测攻击 防守组可利用安全设备对网络攻击进行监测，对发 现的攻击行为进行分析确认，详细记录监测数据。 7）提交成果 演习过程中，红队人员发现可利用安全漏洞，将获 取的权限和成果截图保存，通过平台进行提交。

📄 Page 18

实战攻防演习之 紫队视角下的实战攻防演习组织 12 8）漏洞确认及研判 由专家组对提交的漏洞进行确认，确认漏洞的真实 性，并根据演习计分规则进行分数评判。 9）攻击结束 在演习规定时间外，攻击组人员停止对目标系统的 攻击。 10）成果总结 演习工作组协调各参演小组，对演习中产生的成 果、问题、数据进行汇总，输出相关演习总结报告。 11）资源回收 由演习工作组负责对各类设备、网络资源进行回 收，同时对相关演习数据进行回收处理，并监督攻击 组人员对在演习过程中使用的木马、脚本等数据进行 清除。 12）演习结束 对所有目标系统攻击结束后，工作小组还需要进行 内部总结汇报，演习结束。

📄 Page 19

实战攻防演习之 紫队视角下的实战攻防演习组织 13 （五）搭建演习平台 为了保证演习过程安全可靠，需搭建攻防演习平 台，演习平台包括：攻击场地、防守场地、攻击目标 信息系统、指挥大厅、攻击行为分析中心。 1）攻击场地 攻击场地可分为场内攻击和场外攻击，搭建专用的 网络环境并配以充足的攻击资源。正式攻击阶段，攻 击小组在对应场所内实施真实性网络攻击。场地内部 署攻防演习监控系统，协助技术专家监控攻击行为和 流量，以确保演习中攻击的安全可控。 2）防守场地 防守场地主要是防守方演习环境，可通过部署视频 监控系统将防守工作环境视频回传指挥中心。 3）攻击目标信息系统 攻击目标信息系统即防守方网络资产系统。防守方 在被攻击系统开展相应的防御工作。

📄 Page 20

实战攻防演习之 紫队视角下的实战攻防演习组织 14 4）攻击行为分析中心 攻击行为分析中心通过部署网络安全审计设备对攻 击者攻击行为进行收集及分析，实时监控攻击过程， 由日志分析得出攻击步骤，建立完整的攻击场景，直 观地反应目标主机受攻击的状况，并通过可视化大屏 实时展现。 5）指挥大厅 演习过程中，攻方和守方的实时状态将接入到指挥 大厅监控大屏，领导可以随时进行指导、视察。 （六）应急保障措施 指攻防演习中发生不可控突发事件，导致演习过程 中断、终止时，所需要采取的处置措施预案。需要预 先对可能发生的紧急事件（如断电，断网，业务停顿 等）做出临时处置安排措施。攻防演习中一旦参演系 统出现问题，防守方应采取临时处置安排措施，及时 向指挥部报告，由指挥部通知红队在第一时间停止攻 击。指挥部应组织攻、防双方制定攻击演习应急相应 预案，具体应急响应预案在演习实施方案中完善。